从1615875443条日志到94个事件深信服XDR极致降噪背后技术揭秘
“在近一个月的测试期间,深信服XDR平台共产生1615875443个安全日志,聚合而成278802个安全告警,最终生成94个安全事件,告警削减效率提升2965倍。每位安全运营人员每天仅能处理500条告警,以往10+人花费10+天都处理不完,现在1人1天即可高质量研判完所有安全事件,安全告警结合威胁定性,可以将非病毒和扫描类的研判完毕。”
当安全工程师充满底气地汇报出这组数据,事实上,“深信服XDR平台切切实实为用户所带来安全效果”,不是一句“空谈”。
不仅如此,对比相同一台态势感知在同一天的告警数量,深信服XDR的告警削减比例接近10倍。
以往的态势感知与防火墙建设碎片化,设备分开运营,病毒、木马、挖矿告警太多,且大都是业务误报触发的告警,难以快速发现定向攻击。
现网有各类厂商的不同安全设备,各个产品的告警非常分散,单独处理对应告警分析难度高且工作量过大,导致安全响应效率低下。
深信服XDR平台上线后,通过网端一手遥测数据聚合分析能力,大幅削减来源于EDR和态势感知(含第三方软件)的海量告警,并能完整还原出攻击故事线,精准狙击攻击者的入口点及影响面。
收集多源遥测数据,编织以往零散割裂的信息,形成用户要优先关注、能体现攻击全貌的安全事件。
从遥测数据、安全日志、安全告警,到深信服XDR所定义的安全事件,这背后依赖海量数据的高性能流式分析架构结合列式存储,也是XDR与以往SIEM类产品的关键差异。
从架构来看,一个或多个安全日志可能会经过聚合、去重、消减、过滤、融合等处理机制,实现告警降噪的效果。
降噪的本质就是压缩有效信息,并基于更多有效的数据,提供丰富的上下文举证。
多对一降噪:当黑客采用多个源IP,暴破同一个资产,无论持续了多长时间、成功与否,深信服XDR只需要给用户呈现一条事件或告警,在首次生成告警后,在该告警详情里持续更新。
一对多降噪:当内网某一个资产沦陷后,黑客会横向扫描多个内网资产,无论扫描多少资产、利用多少扫描方式,深信服XDR通过时间线关联,仅生成一条横向扫描的安全事件。
一对一降噪:黑客持续攻击一个资产,过程中可能利用了多种类似攻击手法,比如利用同一个漏洞,执行了多个不同的恶意命令,深信服XDR能够准确的通过命中的安全日志,持续聚合成一条告警。
跨阶段关联降噪:将早期dnslog、WebShell上传+通信、内网横向等攻击,跨阶段关联在一起,深信服XDR以自动化方式,聚合成一个完整的安全事件。
传统病毒查杀降噪:针对传统病毒类告警,能提取出病毒路径、病毒名称、病毒hash等关键因子,按hash唯一和类别唯一两种模式,深信服XDR将同一病毒产生的告警聚合到一个安全事件中。
高级威胁降噪:针对例如无文件攻击的高级威胁,深信服XDR按时间顺序记录用户环境中发生的一切行为,将所有遥测数据串成一个图。基于溯源图通过时间、资产、网络、情报等多因子进行关联,选取与威胁相关的实体和关系作为点和边,形成一张小型威胁图,最终形成可视化的攻击故事链。
传统病毒查杀+高级威胁降噪:如果黑客进行一系列高级威胁攻击行为后,仍然落盘了一个可疑文件,被EDR杀毒检出,深信服XDR会将杀毒告警在进程链进行匹配,意味着传统病毒查杀和高级威胁降噪合二为一。
根据网端发生“相同事情”的关联性,网端关联分为强关联、逻辑关联和弱关联,关联强度越强,泛化能力就越弱。
深信服XDR网端关联引擎,可以自动高效地串联起多维度安全信息,不仅提高对未知威胁、隐蔽攻击的检出率,还通过充分的溯源举证,大幅度提高安全事件的准确度,帮助安全团队能做判断,敢做判断,高效处置。
需要圈重点的是,降噪能力在不同厂商设备间相通,深信服XDR平台能够收集来自多家第三方厂商的数据源。
深信服XDR将语义识别引擎和多级关联分析引擎创新结合,实现自动化的理解遥测数据和检测日志,“左手翻译、右手聚合”,持续将不同设备对同一次攻击产生的多条告警合为一条告警,将同一次攻击在不同阶段发起的多次尝试融为一个事件。
深信服XDR平台通过内置告警降噪、智能对抗、威胁定性等能力属性,结合安全GPT等AI技术持续赋能,提升威胁对抗的效果和效率,构建安全运营的全新范式,实现「秒级闭环,百倍提效,千万级降本」的效率和能力跃升,助力每一位用户「安全领先一步」。
在近一个月的测试期间,深信服XDR平台共产生1615875443个安全日志,聚合而成278802个安全告警,最终生成94...
在如今这个能源汽车日益流行的时代,电车的充电需求日益凸显。然而,在日常充电过程中,车主们难免会遇...
近日,迪士尼与DOMETIC多美达公司达成为期4年的战略联盟,为美国奥兰多和洛杉矶的所有迪士尼度假...
随着银行业务数字化转型提速,票证录入智能化的需求也随之高涨,银行对OCR模型的开发周期、识别准确率、...
作为一种流行街头文化,近年来说唱在全世界内获得众多人群的关注和喜爱。在国内,同样有这么一批人,...
智能电视的出现可以说是颠覆了传统电视的使用方式。以前,吃过晚饭一家人便围坐在电视机旁,准时守候着8点...
随着铛铛铛的声音响起,一辆老式铛铛车正行驶在有着120年历史的街道上。一会儿到了百货大楼,一会儿到了...
实时速度测量对各种车辆来说是至关重要的,特别是那些参与运输、物流和紧急服务的车辆,比如卡车、公...
在近一个月的测试期间,深信服XDR平台共产生1615875443个安全日志,聚合而成278802个安全告警,最终生成94...
在如今这个能源汽车日益流行的时代,电车的充电需求日益凸显。然而,在日常充电过程中,车主们难免会遇...
近日,迪士尼与DOMETIC多美达公司达成为期4年的战略联盟,为美国奥兰多和洛杉矶的所有迪士尼度假...
2023年10月15日,第134届中国进出口商品交易会(又称“广交会”)在
随着消费升级下的护肤需求精细化趋势以及彩妆风潮越来越盛,洁面卸妆产品作为连接彩妆与护肤的过渡品类...
唱响大湾区 奋进新时代!10月14~15日,深圳市第三届职工音乐节深圳职工K歌大赛最后一场海选在华强北ye...
驾驶员朋友注意啦!违法扣分有办法!学法减分答题神器上线分,学法减分答题神器可以扫描...
饮水思源,不忘初心。作为义乌对联行业的领军品牌,富年达在为广大购买的人提供优质的对联产品的同时,一直积...
随着银行业务数字化转型提速,票证录入智能化的需求也随之高涨,银行对OCR模型的开发周期、识别准确率、...
作为一种流行街头文化,近年来说唱在全世界内获得众多人群的关注和喜爱。在国内,同样有这么一批人,...
10月13日-15日,由ITSS数据中心运营管理组、双态IT论坛、以及智能运维国标工作组主办的2023第六届双态IT...
近日,在中国信通院泰尔实验室组织的企业绩效管理EPM全面预算平台能力有一定的要求测评活动中,企云方全面预算管...
床垫对睡眠的重要性不言而喻,优质的睡眠是我们每天保持精力充沛的前提。要想实现优质的睡眠,选择...
美丽田园的第一家店成立于1993年,从彼时起它就一直走在美容技术的前沿,致力于将全球的先进的技术、产品...
为增强少年儿童的消防安全防范意识,提升少年儿童的社会实践能力,2023年10月15日,金水区北林路街道鑫...
10月13日,英国最古老的综合性公立大学之一的切斯特大学(University of Chester)的国际中心主任乔纳...
7月31日,国家发展改革委发布《关于恢复和扩大消费措施的通知》,形成促进消费的一揽子政策体系,乳品消费...
智能电视的出现可以说是颠覆了传统电视的使用方式。以前,吃过晚饭一家人便围坐在电视机旁,准时守候着8点...
10月15日,歌尔首届潍坊马拉松,在嫦娥奔月传说地寒亭区鸣枪开跑。10000多位马拉松爱好者和专业运...